Как найти логи с дейтвиями пользователя в Windows Defender?
Здравствуйте, возможно ли найти в логах в ОС Windows действия пользователя с Windows Defender, а именно добавление/удалений правил, включение/выключение и т.д. ?
radioactivetoy, действия пользователя - это изменение конфигурации Defender, вкл/выкл службы и действия с карантином.
внутри соответствующих событий есть данные domain\user
Роман Безруков, да, как раз редактировал коммент,
действительно там есть события по которым можна считать включение/выкючение модулей, не достаточно подробно изучил.
но если речь идет о добавлений какого-то правила? в упор не виду ничего подобного
Роман Безруков,
про Windows Defender Firewall :)
там где добавляется правила для разрешения или блокировки трафика - Indound/Outbound Rules
И вот нужно собственно найти в логах какой пользователь что делал с какими правилами, удалил что-то, изменил что-то, и т.п.
Роман Безруков, нашел записи что конфигурация была изменена, и там даже User ID, но что на что к сожалению не отображает в "нормальном" виде, только что-то типа
Default\Features\TPExclusions = 0x0
HKLM\SOFTWARE\Microsoft\Windows Defender\Features\TPExclusions = 0x0
или
Default\ProductAppDataPath = C:\ProgramData\Microsoft\Windows Defender
HKLM\SOFTWARE\Microsoft\Windows Defender\ProductAppDataPath = C:\ProgramData\Microsoft\Windows Defender
по пути C:\ProgramData\Microsoft\Windows Defender тоже в читабельном виде ничего не вижу
Роман Безруков, боже какой же я тупой))
я реально не видел что там есть еще одна отдельная папка на Windows Firewall With Advanced Security
там уже действительно все есть, большое вам спасибо))
